Graboid

大多數加密劫持蠕蟲都是通過torrent，惡意廣告活動，虛假下載和其他流行方法傳播的。但是，一些網絡騙子選擇利用更具創造性的感染媒介。 Graboid密碼劫持蠕蟲就是這種情況。 Graboid蠕蟲的作者正在使用不安全的容器（在這種情況下為Docker）傳播此威脅。

大多數受害者位於中國

該密碼劫持蠕蟲的創建者未針對特定人群或特定行業或企業類型。但是，大多數Graboid蠕蟲的受害者都位於中國。迄今為止，已經確定可能有10,000多名受害者。 Graboid加密劫持蠕蟲的目的是感染系統並劫持其資源以開採Monero加密貨幣。

默認情況下，Docker沒有打開端口以通過Internet進行遠程訪問。因此，可能是因為那些感染了Graboid蠕蟲的用戶錯誤地配置了該應用程序，從而讓他們自己敞開心懷。

如何進行攻擊

入侵系統後，蠕蟲將下載幾個具有特定目的功能的bash腳本，並採取措施確保蠕蟲的行為是真正隨機的。 Graboid蠕蟲部署的第一個文件包含一個列表，該列表包含容易受到攻擊並可能受到威脅的IP地址。向Graboid密碼劫持蠕蟲的操作員提供了有關受害者係統（特別是CPU）的信息。這可以通過使用“ live.sh”腳本來完成。另一個名為“ cleanxmr.sh”的腳本負責選擇“ worm.sh”文件中列出的一個易受攻擊的IP地址。接下來，蠕蟲會尋找受感染機器上可能存在的任何其他加密礦軟件或其他潛在的加密劫持者（未鏈接到Graboid蠕蟲）。如果檢測到任何病毒，則Graboid蠕蟲將確保停止其活動，以確保沒有其他應用程序在收穫CPU資源。在最後一步中，名為“ xmr.sh”的腳本在主機上植入了Monero挖掘模塊。

惡意軟件分析人員無法確定為什麼這種加密劫持蠕蟲的創建者將挖掘活動的間隔隨機化，因為這種方法沒有明顯的優點。相反，它會對礦工的效率產生負面影響。

但是，很明顯，為什麼攻擊者選擇通過Docker容器傳播Graboid蠕蟲。這不是一個未知的方法，網絡騙子傾向於選擇這種方法，因為防病毒軟件通常會給像Docker這樣的容器提供“空白”。希望將來，反惡意軟件解決方案在處理容器時會更加警惕。